防火牆
防火牆模組提供了統一的介面來管理伺服器的防火牆。 它會自動偵測並搭配系統防火牆(firewalld 或 ufw),讓你可以開關防火牆、管理連接埠規則、透過允許/拒絕清單控制 IP 存取,以及設定連接埠轉發。
支援的防火牆
面板會自動偵測已安裝的防火牆。 它優先使用 firewalld,在 firewalld 無法使用時退回到 ufw。 這裡描述的所有操作都會在背後轉換為對應的 firewalld 或 ufw 指令。
防火牆頁面
防火牆頁面以分頁方式組織:
| 分頁 | 說明 |
|---|---|
| 連接埠規則 | 管理開放或限制特定連接埠/連接埠範圍的規則 |
| IP 規則 | 管理以 IP 為基礎的允許/拒絕規則(黑名單/白名單) |
| 連接埠轉發 | 管理連接埠轉發(連接埠對應)規則 |
| 掃描感知 | 網路掃描偵測與統計 |
| 設定 | 開啟/關閉防火牆、允許/拒絕 ping,以及掃描設定 |
設定
開啟 設定 分頁以控制防火牆主開關及相關選項。
- 系統防火牆:防火牆的主開關。 開啟時會啟動並啟用防火牆服務;關閉時會停止並停用它。 變更會立即生效。
- 允許 Ping:控制伺服器是否回應 ICMP ping 請求。 停用它可以讓伺服器對 ping 探測不可見。
WARNING
在限制流量之前,請確保面板使用的連接埠和你的 SSH 連接埠已被允許,否則你可能會把自己鎖在伺服器之外。
設定分頁還包含 掃描感知 選項。 掃描感知的偵測與統計將另行介紹,不在本頁討論範圍內。
連接埠規則
開啟 連接埠規則 分頁以管理特定連接埠或連接埠範圍的規則。 此檢視僅列出以連接埠為基礎的規則;整段範圍的 IP 規則顯示在 IP 規則分頁下。
規則清單
每條規則顯示以下欄位:
| 欄位 | 說明 |
|---|---|
| 傳輸協定 | TCP、UDP 或 TCP/UDP。 沒有適用的協定時顯示 None |
| 網路協定 | IPv4 或 IPv6(位址族)。 未設定時顯示 None |
| 連接埠 | 單一連接埠(例如 80)或範圍(例如 8000-9000) |
| 狀態 | 連接埠目前是否被佔用:In Use 或 Not Used |
| 策略 | Accept、Drop、Reject 或 Mark |
| 方向 | Inbound 或 Outbound |
| 目標 | 規則套用的來源/目的位址;為空時顯示 All |
連接埠佔用查詢
當某條規則的狀態顯示為 In Use 時,點選狀態標籤可開啟一個彈出視窗,列出目前佔用該連接埠的行程。 對於每個行程,面板會顯示:
- 名稱:行程名稱
- PID:行程 ID
- 指令:行程的完整命令列
這樣在變更或刪除規則之前,可以輕鬆辨識出是什麼正在監聽某個連接埠。 該查詢使用系統的 ss 工具搭配 /proc 資訊,因此僅在 Linux 伺服器上可用。
建立規則
點選 建立規則 按鈕並填寫表單:
- 傳輸協定:
TCP、UDP或TCP/UDP(預設TCP) - 網路協定:
IPv4或IPv6(預設IPv4) - 起始連接埠:連接埠範圍的起點,1–65535(預設
80) - 結束連接埠:連接埠範圍的終點,1–65535(預設
80)。 對於單一連接埠,請將起始連接埠和結束連接埠設為相同的值。 如果結束連接埠低於起始連接埠,會自動提升至與起始連接埠一致 - 目標:規則套用的一個或多個來源位址。 留空則套用至所有位址。 可接受單一 IP 或 CIDR 範圍,例如
172.16.0.1或172.16.0.0/16。 你可以新增多個項目;每個項目會建立一條規則 - 策略:
Accept、Drop或Reject(預設Accept) - 方向:
Inbound或Outbound(預設Inbound)
| 策略 | 行為 |
|---|---|
| Accept | 允許該流量 |
| Drop | 靜默丟棄該流量,不做任何回應 |
| Reject | 丟棄該流量並向傳送方回傳拒絕回應 |
TIP
要開放某個連接埠供公網存取,請建立一條 Inbound 方向、Accept 策略的規則,並將 目標 留空。
刪除規則
- 單條刪除:點選規則所在列的 刪除 並確認。
- 批次刪除:使用核取方塊選擇一列或多列,點選頂部的 刪除 按鈕並確認。 所選規則會被一併移除。
IP 規則
開啟 IP 規則 分頁以管理以 IP 為基礎的允許和拒絕規則(白名單/黑名單)。 與連接埠規則不同,這些規則會對某個來源位址在所有連接埠上生效。
規則清單
| 欄位 | 說明 |
|---|---|
| 傳輸協定 | TCP、UDP 或 TCP/UDP。 未設定時顯示 None |
| 網路協定 | IPv4 或 IPv6。 未設定時顯示 None |
| 策略 | Accept、Drop、Reject 或 Mark |
| 方向 | Inbound 或 Outbound |
| 目標 | 規則套用的 IP 位址或範圍 |
建立規則
點選 建立規則 並填寫表單:
- 傳輸協定:
TCP、UDP或TCP/UDP(預設TCP) - 網路協定:
IPv4或IPv6(預設IPv4) - IP 位址:一個或多個 IP 位址或範圍,例如
172.16.0.1或172.16.0.0/16。 你可以新增多個項目;每個項目會建立一條規則 - 策略:
Accept、Drop或Reject(預設Accept) - 方向:
Inbound或Outbound(預設Inbound)
白名單與黑名單
- 白名單:使用
Accept策略明確允許受信任的 IP。 - 黑名單:使用
Drop或Reject策略封鎖不需要的 IP。
刪除規則
支援單列刪除(列上的 刪除 按鈕)和批次刪除(選擇多列後點選頂部的 刪除)。 每個操作都需要確認。
連接埠轉發
開啟 連接埠轉發 分頁以管理連接埠轉發(連接埠對應)規則。 轉發規則會將抵達本機連接埠的流量重新導向到目標 IP 和連接埠。
規則清單
| 欄位 | 說明 |
|---|---|
| 傳輸協定 | TCP、UDP 或 TCP/UDP |
| 連接埠 | 接收流量的來源連接埠 |
| 目標 IP | 流量被轉發到的目標 IP |
| 目標連接埠 | 流量被轉發到的目標連接埠 |
建立轉發
點選 建立轉發 按鈕並填寫表單:
- 傳輸協定:
TCP、UDP或TCP/UDP(預設TCP) - 目標 IP:目的 IP 位址(預設
127.0.0.1) - 來源連接埠:要轉發的傳入連接埠,1–65535(預設
8080) - 目標連接埠:要轉發到的目的連接埠,1–65535(預設
80)
例如,將來源連接埠 8080 轉發到 127.0.0.1:80,會把所有抵達 8080 連接埠的流量傳送到本機監聽 80 連接埠的服務。
刪除轉發
支援單列刪除(列上的 刪除 按鈕)和批次刪除(選擇多列後點選頂部的 刪除)。 每個操作都需要確認。
常見問題
連接埠已開放但服務仍然無法存取
- 在 設定 分頁確認防火牆已啟用。
- 在 連接埠規則 下檢查該連接埠是否存在 Inbound Accept 規則。
- 使用 狀態 欄的連接埠佔用查詢,確認確實有行程正在監聽該連接埠。
- 確保沒有 IP 規則 封鎖該來源位址。
變更規則後被鎖在外面
- 在新增限制性規則之前,請務必保持你的 SSH 連接埠和面板連接埠處於允許狀態。
- 如果失去存取權限,請透過服務供應商的主控台(VNC/序列埠)登入,並直接調整或停用防火牆。
規則未生效
- 確認正在使用哪個防火牆後端(
firewalld或ufw);面板會管理已安裝的那一個。 - 透過 設定 中的 系統防火牆 開關確保防火牆服務正在執行。